远程办公安全解决方案
图1:远程办公业务安全解决方案
图2:目录
目录
远程办公概述
Overviewof telecommuting
常见远程办公场景
Common remote office scenarios
远程办公主流方案
Remote office mainstream solution
远程办公的安全风险
Security risks of telecommuting
远程办公安全解决方案
Telecommuting security solution
图3:远程办公概述
追述历史,"远程办公"这一概念首次出现于1979年,IBM 为缓解总部主机拥堵问题,将终端机安到了五位员工家里——某种意义上看,这就是现代企业远程办公的"雏形"。
早在2009年, IBM 就已经对外宣布:其在全球173 个国家,约有154,400 名员工实现了"在家"远程办公,这一举措为IBM节省了5800万平方英尺的办公空间和每年近20亿美元的成本。
远程办公相对于本地办公具有“高效、方便、快捷、安全及易用”的特点。例如企业召开一个会议,远程办公只需要与会人员都在线只要建立一个虚拟的会议室就可以实现多方的交流。与会人员不用为交通工具、途中是否堵车而烦恼,能够节省非常多的通勤时间。除此之外还能避免人与人的直接接触,在新冠肺炎疫情的当下保证了与会人员的健康安全。远程办公软件的使用基本上和各种社交软件一样,操作简单容易上手。
图4:常见远程办公场景
图5:远程办公主流方案
图6:远程办公的安全风险
图7:远程办公安全解决方案
远程办公的安全解决方案主要从信息的传输开始使用VPN网络接入开始,并对各个远程接入的访问终端增加终端安全保护系统,对重要的文档部署文档安全保护系统,对远程运维工作部署运维安全审计,最后对企业的重要核心数据进行数据的安全备份。
图8:VPN网络接入
VPN网络接入包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。
高强度链路加密
同时支持国密办算法SM1/SM2/SM3/SM4,以及商密算法,并提供防中间人攻击等技术,有效保护链路隧道安全。
多维度身份认证
包含短信认证、指纹认证、AD域认证,同时提供手机令牌的认证方式,形成多因素认证,提高身份安全性。
终端环境安全
采用云查杀技术,对终端进行病毒、木马快速扫描、查杀,确保终端环境安全,避免病毒木马以终端为跳板攻击业务系统。
应用自身安全
采用应用封装技术,将VPN功能集成到客户应用APP中,并可对应用进行加固处理,防止注入恶意代码,反编译。
跨平台无缝访问
应用虚拟化技术,让您无需二次开发,即可让过往的windows业务系统在各种新的终端、操作系统上跨平台访问,既低成本、高效的解决了应用系统的跨平台兼容性问题,同时又提升了用户的访问体验
图9:终端安全保护
有效查杀已知/未知病毒
结合云查杀引擎、脚本查杀引擎、启发式查杀引擎、人工智能查杀引擎、系统修复引擎、主动防御技术,有效查杀已知和未知病毒;
实时全面的资产管理
全面展示全网终端软硬件资产、操作系统、网络、进程等详细信息,实时记录资产信息变更,有效管控网络流量、进程服务等,做到安全管理一目了然。
智能化的补丁管理
可对全网终端进行漏洞扫描并与漏洞类型进行多维关联按需修复,特有蓝屏修复机制、补丁分发流控机制有效提升企业信息系统整体漏洞防护等级
可靠的安全运维管控
能有效的对终端进行应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、账号密码安全检测、本地安全策略加固等。
灵活的移动存储管控
给予不同的移动存储介质相应的授权使用范围和读写权限,同时支持设备状态的追踪与管理,实现对移动存储设备的灵活管控,保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。
丰富的安全网络准入控制
支持旁路镜像应用准入、802.1x认证、Portal认证、AD认证、复合认证等多种网络认证技术,适应各种复杂网络环境下的接入部署,支持大型多分支机构网络部署。
完善的安全审计
通过分组、时间、文档类型等多视角、多维度、多层次对终端文件的操作行为、输出行为、打印行为、光盘刻录行为、邮件收发行为进行完善的审计。
图10:文档安全保护
文件透明加密模块
文件透明加密模块是防止电子文件由于单位内部员工泄露而开发的内核驱动层加密、图纸加密、文档加密系统。在不影响员工对电脑任何正常操作的前提下,文件在复制、新建、修改时被系统强制自动加密。加密的文件只能在单位内部电脑上正常使用,一旦脱离单位内部的网络环境,在外部电脑上使用是乱码或无法打开。加密文件只有被管理员解密之后,带出单位才能正常使用。
文件外发控制模块
对于一些重要文档外发需要事先向上级领导进行外发申请,才能外发给客户或合作伙伴。被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证,而后才能在授予的权限范围内访问。身份认证的方式包括:口令认证、机器码认证、联网认证。访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等。被授权的客户或者伙伴在访问该文件时,无需在自己的电脑上安装任何插件,即可访问。
服务器白名单模块
企事业单位无需在内部应用系统上安装任何插件,事前通过数据防泄密系统统一配置,要求终端加密文件上传到指定服务器是明文,或者密文;单位内部的加密终端根据下发配置要求,系统会自动判断,如果要求明文存储,自动解密后上传,无需人工干预。
离线管理模块
针对所有员工笔记本办公,公司统一设定默认时间(如:72小时),在默认时间内,携带笔记本回家办公和公司内部一样的安全管理效果;对于员工出差时,可在线向上级申请,授予一个合理时间,携带笔记本出差办公,和在公司内部一样的安全管理效果;有些电脑需要长期脱离公司网络,或者无法连接网络的情况下也需要保护电脑上的文件,同时查看公司其他电脑上的加密文件,这时,可以选择在这类电脑上安装离线终端。
移动终端管理模块
移动端模块为了便于移动办公,系统支持添加、修改或删除移动终端信息(支持IPAD、IPhone及Android系统的移动终端),用户可通过移动终端在线阅读加密文档。移动端有消息推送机制功能,保障实时推送,并且支持视频、音频文件加密和水印显示。在方便移动办公的同时,也保护企事业单位数据安全。
图11:运维安全审计
多元化的认证方式
运维审计与管控系统支持自身提供的本地证书认证,第三方证书认证,动态令牌,生物识别等多种认证方式。
强大的资源管理能力
全面支持Windows资源、Unix资源、网络资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机等各种资源的运维管理。
全面的账号管理机制
支持完整的资源账号生命周期管理,资源账号的改密,拨测及同步管理,用户的账号密码管理等。
超强的审批流程管理
系统支持资源访问的命令审批,登录审批,临时授权审批等多种审批流程,实现运维安全的多重保障。
全方位的审计管理
支持图形资源的鼠标键盘录像审计,录像审计支持多种视频模式(真彩,灰度),审计录像文件经过深度优化处理,磁盘利用率达到业内领先水平。
丰富的部署方式
系统支持多种部署方式,面对各种规模和复杂的运维场景都能够灵活运用,实现高可靠运行,支持HA 双机部署,集群部署,分布式部署。
图12:数据安全备份
集中备份
工作负载日益多样化,往往需要多个方案才能完全覆盖,集中备份凭借广泛的IT环境兼容性和丰富的数据保护技术,以一套方案即可实现全面保护。
·为物理、虚拟及云环境提供统一保护
·基于持续数据保护技术、备份集技术,以分级保护为设计理念,满足不同业务系统的RTO/RPO目标
异地备份
数据隐患无处不在,场地性灾难更具破坏力。异地备份通过D2D2R功能可实现异地备份,即使遭遇场地性灾难,也能确保有数据可恢复。
·提供一对一、多对一、一对多、级联复制等方式,灵活适用多种场景
·借助重删、断点续传等,轻松应对数据量大、带宽资源不足等难题
·本地或异地均可进行数据恢复/灾难演练,真正做到随处可恢复
分支备份
提供卓越的远距离数据传输能力,帮助大型企业构建跨地域灾备云平台,解决分支站点地域分布广、管理人员水平不一等难题。
·分支站点集中灾备,提升数据安全等级
·支持灵活扩容或节点扩展,有效满足未来业务发展需求
·无缝集成 ,实现分支站点统一管理
云端备份
为支撑企业数据中心向云平滑演进,云端备份提供D2C/D2D2C等方式,实现业务数据和备份数据上云,迈向云转型第一步。
·支持D2C或D2D2C等功能,灵活满足不同企业的不同上云需求
·通过数据重删、加密传输等技术,保障数据上云高效安全
·广泛兼容主流公有云存储,享有云的扩展性、灵活性以及成本优势